Verwendung eines Zertifikats für das HTTPS-Protokoll

Anfordern eines SAN SSL-Zertifikats von der Zertifizierungsstelle

Dieser Abschnitt enthält eine Erläuterung zum Aktivieren des HTTP-Protokolls für die Kommunikation zwischen Orchestrator und den Robotern.

Es empfiehlt sich, ein SAN SSL-Zertifikat zu verwenden, das bei einer Zertifizierungsstelle eingereicht wurde, anstatt ein selbstsigniertes Zertifikat zu verwenden, da im ersten Fall kein Zertifikat auf den Robotercomputern installiert werden muss. Alle Computer in der Domäne vertrauen dem von der Zertifizierungsstelle ausgestellten SAN SSL-Zertifikat.

Wenn die primäre Orchestrator-Maschine in einem Active Directory registriert ist, das über eine lokale Zertifizierungsstelle und eine Richtlinie für die automatische Registrierung verfügt, kann der Benutzer eine Zertifikatanforderung ausfüllen, wie im folgenden Verfahren beschrieben.

Drücken Sie die Tasten Windows und R, geben Sie certlm.msc ein und klicken Sie auf OK, um das Zertifikate-Snap-In zu öffnen.
Klicken Sie mit der rechten Maustaste auf den Knoten Persönlich, wählen Sie Alle Aufgaben aus, dann Erweiterte Vorgänge und Benutzerdefinierte Anforderung erstellen. Klicken Sie im Fenster Vor Beginn auf Weiter.
Wählen Sie im Fenster Zertifikatregistrierungsrichtlinie auswählen die Option Active Directory-Registrierungsrichtlinie aus, und klicken Sie auf Weiter.
Wählen Sie im Fenster Benutzerdefinierte Anforderung eine Zertifikatvorlage aus, die für die Verwendung auf dem Webserver bestimmt ist. Sie sollte Web Server oder Web.SAN heißen. Wenn keine Vorlage definiert ist, wählen Sie (Keine Vorlage) Legacyschlüssel aus. Wählen Sie dann PKCS #10 als Anforderungsformat aus.
Klicken Sie im Fenster Zertifikatinformationen entsprechend Ihrer Anforderung auf die Schaltfläche Details, und wählen Sie dann Eigenschaften aus, um das Fenster Zertifikateigenschaften zu öffnen und die Zertifikatanforderung anzupassen.
Passen Sie die Informationen auf der Registerkarte Antragsteller wie unten beschrieben an:

6.1. Wechseln Sie im Abschnitt Antragstellername zu Typ, und wählen Sie im Dropdown-Menü Allgemeiner Name aus. Geben Sie im Feld Wert den vollqualifizierten Domänennamen (FQDN) der Maschine ein, z. B. myhost.domain.local. Klicken Sie dann auf Hinzufügen.

6.2. Wechseln Sie im Abschnitt Alternativer Name zu Typ, und wählen Sie DNS aus dem Dropdown-Menü aus. Geben Sie im Feld Wert den FQDN der Maschine ein (derselbe wie in Schritt 6.1.). Klicken Sie dann auf Hinzufügen.

6.3. Wenn Orchestrator auf mehreren Knoten installiert ist, müssen Sie alle diese FQDNs hinzufügen, wie in Schritt 6.2 beschrieben. Fügen Sie auch den FQDN des Lastenausgleichs hinzu.
Passen Sie die Informationen auf der Registerkarte Privater Schlüssel wie unten beschrieben an:

7.1. Wechseln Sie im Feld Kryptografiedienstanbieter zu Kryptografiedienstanbieter (CSP) auswählen, und aktivieren Sie Microsoft RSA SChannel Cryptographic Provider (Encryption).

7.2. Stellen Sie im Abschnitt Schlüsseloptionen die Schlüsselgröße auf mindestens 2048 ein und aktivieren Sie Privaten Schlüssel exportierbar machen.

7.3. Stellen Sie im Abschnitt Schlüsseltyp die Option Schlüsselverwendung auf Austausch.
Klicken Sie im Konfigurationsfenster auf OK und auf dem Bildschirm Zertifikatinformationen auf Weiter.
Geben Sie auf dem Bildschirm Wo möchten Sie Ihre Offline-Anforderung speichern? einen Dateipfad und Dateinamen Ihrer Wahl an, z. B. C:\Users\YourUser\Documents\sslRequest.req, und wählen Sie Base 64 als Dateiformat aus.
Nachdem die Zertifizierungsstelle die Registrierungsanforderung akzeptiert hat, wird das Zertifikat im persönlichen Speicher angezeigt.

Wichtig:
Wenn das Unternehmen über ein Standardverfahren/eine Standardvorlage zum Abrufen des Zertifikats verfügt, sollte der Benutzer dieses Verfahren heranziehen.

Für andere Umgebungen (z. B. ohne Richtlinie für die automatische Registrierung) können Sie dieses Dokument als Referenz für die Zertifikatsparameter verwenden.

Erstellen eines selbstsignierten SAN-SSL-Zertifikats

Wenn Sie schnell ein SSL-Zertifikat nur zu Testzwecken erstellen müssen, können Sie ein selbstsigniertes SAN-SSL-Zertifikat erstellen.

Wichtig: Wenn auf Ihrer Orchestrator-Maschine Windows Server 2012 R2 ausgeführt wird, kann ein selbstsigniertes SAN-SSL-Zertifikat nicht ohne weiteres erstellt werden. Weitere Informationen finden Sie unter Erstellen eines selbstsignierten SAN-SSL-Zertifikats auf einer Orchestrator-Maschine mit Windows Server 2012 R2.

Erstellen eines selbstsignierten SSL-Zertifikats auf der primären Orchestrator-Maschine

Öffnen Sie eine PowerShell-Konsole als Administrator, und geben Sie die folgenden Befehle aus. Vergessen Sie nicht, Werte an Ihre Umgebung anzupassen.

$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass$ssc = New-SelfSignedCertificate -FriendlyName "TestingCertificate" -DnsName "loadbalancer.domain.local","node1.domain.local","node2.domain.local"
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($ssc)
$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
Export-PfxCertificate -Cert $ssc -FilePath "C:\temp\testingCertificate.pfx" -Password $pass

Die obigen Befehle exportieren auch die C:\temp\testingCertificate.pfx-Datei zur späteren Verwendung.

Nach der Erstellung des Zertifikats:

Wenn ApplicationPoolIdentity verwendet wird, navigieren Sie in der Zertifikatskonsole zu Persönlich > Zertifikate. Klicken Sie dann mit der rechten Maustaste auf Ihr persönliches Orchestrator-Zertifikat, wählen Sie Alle Aufgaben > Private Schlüssel verwalten aus und erteilen Sie IIS AppPool\Identity sowie IIS_IUSRS vollständige Berechtigungen.
Wenn ein benutzerdefiniertes Konto verwendet wird, navigieren Sie in der Zertifikatskonsole zu Persönlich > Zertifikate. Klicken Sie dann mit der rechten Maustaste auf Ihr persönliches Orchestrator-Zertifikat, wählen Sie Alle Aufgaben > Private Schlüssel verwalten aus und erteilen Sie dem benutzerdefinierten Benutzer, der im Orchestrator-Anwendungspool festgelegt wurde, vollständige Berechtigungen.

Hinweis:

IIS AppPool\Identity und IIS_IUSRS sind lokale Gruppen und sollten auf der lokalen Maschine und nicht in der Domäne gesucht werden.

Importieren des selbstsignierten SAN-Zertifikats auf andere Maschinen

Um das selbstsignierte Zertifikat auf anderen Maschinen (sekundäre Orchestrator-Knoten/Robotermaschinen) verfügbar zu machen, öffnen Sie eine PowerShell-Konsole als Administrator, und geben Sie die folgenden Befehle aus.

$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)$pass = ConvertTo-SecureString -String "myPass" -Force -AsPlainText
$imported = Import-PfxCertificate -FilePath "C:\temp\testingCertificate.pfx" -CertStoreLocation Cert:\LocalMachine\My\ -Exportable -Password $pass
$store = New-Object System.Security.Cryptography.X509Certificates.X509Store( "Root", "LocalMachine")
$store.Open("MaxAllowed")
$store.Add($imported)

Firefox – Ausnahmen erlauben

Firefox behandelt den Vorgang ein wenig anders, da es die Zertifikatinformationen nicht im Windows-Speicher liest. Anstatt Zertifikate zu installieren, wird Ihnen erlaubt Ausnahmen für SSL-Zertikate auf bestimmten Sites zu definieren.

Beim Besuch einer Site, die einen Zertifikatsfehler aufweist, wird die Warnmeldung wie im nachfolgenden Screenshot angezeigt. Die URL, auf die Sie zuzugreifen versuchen, wird im blauen Bereich angezeigt. Um eine Ausnahme zur Umgehung dieser Warnung auf dieser speziellen URL zu erstellen:

Klicken Sie auf die Schaltfläche Ausnahme hinzufügen. Das Fenster Sicherheitsausnahme hinzufügen wird angezeigt.
Im Fenster Sicherheitsausnahme hinzufügen klicken Sie auf bestätigen, um diese Ausnahme lokal zu konfigurieren.

Hinweis: Wenn eine bestimmte Seite an Unterdomänen innerhalb von sich selbst weiterleitet, können Sie mehrere Sicherheitswarnungsaufforderungen mit jedes Mal leicht unterschiedlichen URLs ermitteln. Fügen Sie Ausnahmen für diese URLs hinzu, indem Sie die oben stehenden Schritte befolgen.

Zertifikaten zur Fehlerbehebung

Falls Sie bei der Verwendung eines Zertifikats mit UiPathOrchestrator.msi (während der Installation oder des Upgrades) auf Probleme stoßen, können Sie hier mit der Fehlerbehebung beginnen:

In der Systemsteuerung:

Öffnen Sie Computerzertifikate verwalten -> Persönlich -> Zertifikate. Identifizieren Sie Ihr Zertifikat, und doppelklicken Sie darauf. Auf der Registerkarte Allgemein sollten Informationen über seine Gültigkeit angezeigt werden.
Führen Sie in einer Befehlszeile den folgenden Befehl aus, um das Zertifikat zu diagnostizieren: certutil -v -verifystore My <certificateThumbprint> – seine Zusammenfassung befindet sich am Ende der Ausgabe.

Hinweis: Den Fingerabdruck Ihres Zertifikats finden Sie auf der Registerkarte „Details“, die in Schritt 1 beschrieben wird.

Interner Serverfehler

Ein interner Serverfehler kann auftreten, wenn das Zertifikat nicht über die entsprechenden Berechtigungen verfügt. Führen Sie Folgendes als Administrator aus, um die erforderlichen Berechtigungen zu erteilen:

import-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $aclimport-module WebAdministration
$siteName = 'UiPath Orchestrator'
$binding = (Get-ChildItem -Path IIS:\SSLBindings | Where Sites -eq $siteName)[0]
$certLoc = "cert:\LocalMachine\MY\$($binding.Thumbprint)"
$cert = Get-Item $certLoc
$keyPath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\"
$keyName = $cert.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName
$keyFullPath = $keyPath + $keyName
$acl = (Get-Item $keyFullPath).GetAccessControl('Access')
$permission="IIS_IUSRS","Full","Allow"
$accessRule = New-Object -TypeName System.Security.AccessControl.FileSystemAccessRule -ArgumentList $permission
$acl.AddAccessRule($accessRule)
Set-Acl -Path $keyFullPath -AclObject $acl

Nach dem Ausführen des Skripts:

Wenn ApplicationPoolIdentity verwendet wird, navigieren Sie in der Zertifikatskonsole zu Persönlich > Zertifikate. Klicken Sie dann mit der rechten Maustaste auf Ihr persönliches Orchestrator-Zertifikat, wählen Sie Alle Aufgaben > Private Schlüssel verwalten aus und erteilen Sie IIS AppPool\Identity sowie IIS_IUSRS vollständige Berechtigungen.
Wenn ein benutzerdefiniertes Konto verwendet wird, navigieren Sie in der Zertifikatskonsole zu Persönlich > Zertifikate. Klicken Sie dann mit der rechten Maustaste auf Ihr persönliches Orchestrator-Zertifikat, wählen Sie Alle Aufgaben > Private Schlüssel verwalten aus und erteilen Sie dem benutzerdefinierten Benutzer, der im Orchestrator-Anwendungspool festgelegt wurde, vollständige Berechtigungen.

Hinweis:

IIS AppPool\Identity und IIS_IUSRS sind lokale Gruppen und sollten auf der lokalen Maschine und nicht in der Domäne gesucht werden.

Insights-Zertifikatsfehler

Wenn beim Versuch, Ihr Insights-Zertifikat zu ändern, Fehler auftreten, befolgen Sie die Anweisungen unter Aktualisieren des Insights-Zertifikats.

Erstellen eines selbstsignierten SAN-SSL-Zertifikats auf einer Orchestrator-Maschine mit Windows Server 2012 R2

Windows Server 2012 R2 unterstützt den Parameter -FriendlyName nicht. Wenn Ihre Orchestrator-Maschine mit diesem Betriebssystem läuft, müssen Sie die folgenden Schritte ausführen, um ein selbstsigniertes SAN-SSL-Zertifikat zu erstellen:

Erstellen Sie das Zertifikat auf einer Maschine, auf der ein neueres Betriebssystem als Windows Server 2012 R2 ausgeführt wird, wie im Abschnitt Erstellen eines selbstsignierten SSL-Zertifikats auf der primären Orchestrator-Maschine beschrieben.
Importieren Sie das selbstsignierte SAN-SSL-Zertifikat auf die Windows Server 2012 R2-Maschine, wie im Abschnitt Importieren des selbstsignierten SAN-Zertifikats auf andere Maschinen beschrieben.

Stellen Sie sicher, dass Sie das Zertifikat sowohl den Speichern der Persönlich als auch der Vertrauenswürdigen Stammzertifizierungsstellen hinzufügen.
Drücken Sie die Windows-Taste und R, geben Sie cerpressm.msi ein und klicken Sie auf OK, um das Snap-In Zertifikate zu öffnen.
Um Leseberechtigungen für den privaten Schlüssel zuzulassen, führen Sie einen der folgenden Schritte aus:
Wenn Sie ApplicationPoolIdentity verwenden, wechseln Sie zum persönlichen Speicher > Alle Aufgaben > Private Schlüssel verwalten und erteilen Sie dem IIS AppPool\UiPath Orchestrator-Benutzer die Leseberechtigung.
Wenn Sie ein benutzerdefiniertes Konto verwenden, wechseln Sie zum persönlichen Speicher > Alle Aufgaben > Private Schlüssel verwalten und erteilen Sie dem benutzerdefinierten Benutzer, der auf dem Orchestrator-Anwendungspool eingestellt wurde, Leseberechtigungen.